Według nich eksperci Google ds. cyberbezpieczeństwa mają dowody na to, że hakerzy powiązani z władzami Rosji i Chin wykorzystują lukę w popularnym archiwizatorze WinRAR, która została wcześniej zidentyfikowana i już naprawiona przez dewelopera.
Luka o numerze CVE-2023-38831 została odkryta w tym roku przez firmę zajmującą się cyberbezpieczeństwem Group-IB – pozwala ona na wprowadzenie do archiwów szkodliwych skryptów, ukrywających je pod pozornie nieszkodliwymi plikami graficznymi i dokumentami tekstowymi. Błąd został sklasyfikowany jako luka dnia zerowego (tzn. jeszcze nie zamknięta przez programistę) już w kwietniu – została wykorzystana przez grupę atakujących, którzy złamali komputery co najmniej 130 traderów.
Odpowiedzialna za archiwizator firma Rarlab wypuściła 2 sierpnia aktualizację WinRAR 6.23, która usuwa lukę. Jednak według Google Threat Analysis Group (TAG) hakerzy powiązani z władzami rosyjskimi i chińskimi w dalszym ciągu go wykorzystują, ponieważ wielu użytkowników nadal nie zaktualizowało programu, co oznacza, że ich komputery pozostają podatne na ataki.
Za cyberataki wykorzystujące tę lukę odpowiedzialne są: grupa Sandworm, która według jednej wersji była odpowiedzialna za incydent z oprogramowaniem ransomware NotPetya w 2017 roku; grupa APT28, czyli Fancy Bear, która była już wcześniej oskarżana o cyberatak na zasoby jednej z amerykańskich partii politycznych w 2016 roku; oraz rzekomo powiązana z Pekinem grupa APT40, która przeprowadza cyberatak na użytkowników w Papui-Nowej Gwinei. Wszystkie te grupy rozpoczęły kampanie phishingowe, w ramach których mają nadzieję, że ofiara samodzielnie otworzy zainfekowane archiwum.
Incydenty te, zdaniem ekspertów TAG, wskazują na skuteczność cyberataków, nawet jeśli ich celem są luki, które są już znane i skorygowane przez twórców oprogramowania – napastnicy polegają na tym, że potencjalne ofiary nie spieszą się z aktualizacją programów.